無檔案惡意軟體攻擊不著痕跡 逾140家銀行政府企業受駭 芬-安全F-Secure先進的DeepGuard防禦技術阻止此類漏洞攻擊

來自北歐防毒領導品牌芬-安全F-Secure的安全專家提醒,近期140多家銀行、電信商和政府的網路中發現了無檔案惡意軟體攻擊,這些攻擊是存在隨機存取記憶體(RAM),而非硬碟上的惡意程式,它通常是在使用者造訪惡意網站或點選惡意郵件附件時進行感染,由於它不是以檔案的形式存在,因此可躲過防毒軟體的偵測。芬-安全F-Secure具備先進的DeepGuard防禦技術,提供漏洞保護,已阻止這類型的攻擊方式。

Gartner安全分析師Avivah Litan說:「無檔惡案意軟體攻擊變得越來越普遍,並且繞過了今天部署的大多數端點保護和檢測工具。」

在記憶體中執行攻擊而不是透過可執行檔的攻擊方式近期強勢回歸。去年有一些用這種技術展開針對銀行的明顯攻擊增加。事實上,這項技術在15年前就出現了。

2001年Office XP中引入的安全性原則-在運行嵌入在檔中的未簽名巨集之前要求使用者許可權。這使得這類攻擊相對難以執行,因此,大多數攻擊者停止使用基於巨集的惡意軟體,傾向於其他惡意軟體分發方法。

然而15年後,基於巨集的惡意軟體正在重新出現。基於巨集的惡意軟體的復興與一個眾所周知的工具結合在一起:社會工程(social engineering)。事實證明,即便到了2017年,員工依然是企業安全防護最弱的一環。包含巨集惡意軟體的惡意檔,以及用於分發惡意軟體的電子郵件,都是犯罪份子精心製作的,以便與讀者產生共鳴。使用銷售發票,稅務通知和簡歷的業務相關的主題,用戶可以很容易上當不假思索打開附件。

芬-安全F-Secure實驗室的Andy Patel表示:「 無檔案的惡意軟體攻擊,目的在打敗只檢測可執行檔來識別惡意軟體的傳統防毒技術。」

攻擊者利用Microsoft自帶的工具(如PowerShell)通過惡意巨集執行基於記憶體的攻擊,這些巨集會觸發PowerShell將惡意軟體載入到機器上。檢測這些攻擊可能很困難,因為巨集使用逃避技術和無檔案方法來逃避基於檔的檢測。

芬-安全F-Secure 「2017網路安全報告」解釋了什麼是巨集:巨集本質上是自動執行任務的有用工具。然而,它們具有安全風險,因為惡意軟體可以隱藏在看似無害的文檔中,並且可以欺騙受害者執行惡意程式碼。通常,受害者接收作為電子郵件附件的文檔,在打開時要求接收者啟用巨集來讀取附件內容。啟用後,惡意軟體代碼即被執行。 記憶體利用通常利用已知的漏洞。而且我們知道,修補漏洞是一些組織無法及時和有效完成的事情 – 根據芬-安全在2015年底進行的一項研究,約70%的組織缺乏修補程式管理解決方案。然而,根據最近Gartner題為「Get Ready for Fileless Malware(準備好迎接無文本惡意軟體的降臨)」的報告,企業應該做的事情之一是注重安全”衛生“習慣和修補漏洞管理。 通過限制對關鍵資源(如Command&Control伺服器)的存取,企業可最大程度地降低由無檔案惡意軟體造成的風險。即使惡意軟體僥倖得以進入企業網路,它不能存取C&C就無法造成任何危害 – 這一點可以通過我們的殭屍網路攔截(Botnet Blocker)功能實現。

芬-安全的DeepGuard專家Jose Perez表示:「DeepGuard提供漏洞保護,以減少對合法應用程式的利用。它還通過阻止腳本的執行來提供針對基於腳本的攻擊的保護。這一切本質上是DeepGuard檢測法的核心:使用行為攻擊指標(indicators of compromise)。」

關於 芬-安全 F-Secure

芬-安全 F-Secure 是一家具有多年銷售企業和個人安全防護經驗的歐洲資訊安全公司,防護勒索軟體感染,也針對高級網路攻擊提供全面的安全服務體系及芬-安全的獲獎產品。 芬-安全 F-Secure 的專利安全創新和先進的威脅情報技術,保護上萬各公司和數百萬的用戶安全。 芬-安全 F-Secure 的安全專家比市場上任何一家廠商更頻繁地參與了歐洲資訊犯罪現場調查。在全世界有超過 200 多家運營商和上千家分銷商銷售 芬-安全。 芬-安全 F-Secure 成立於 1988 年,在赫爾辛基納斯達克交易所上市。

2016 年在台設立台灣客服中心 www.fservice.com.tw 提供個人版用戶在地的貼心服務。同時授權湛揚科技www.t-tech.com.tw 為芬-安全台灣總代理;科益國際 www.techez.com.tw 為芬-安全企業版白金代理商,提供台灣個人及家庭用戶、大中小型企業客戶全方位安全解決方案。

如想進一步瞭解歡迎聯絡:芬-安全F-Secure白金代理商-科益國際 芬享安全小組,02-2585-8725 #201~202,或e-mail service@techez.com.tw 將有專人為您服務。